Java史上最大安全漏洞修補不全，臉書蘋果微軟接連受駭

近日來Java 7的嚴重漏洞迫使甲骨文頻繁釋出更新，然而臉書、蘋果及微軟等大型企業仍接連傳出受駭消息，臺灣企業也相繼改變企業內Java的採用策略，作為對此的回應。

漏洞頻傳，臉書蘋果微軟皆受駭
美國國土安全部轄下的美國電腦緊急應變小組US-CERT，於去年底發布警告，宣布Java 7含有重大安全性漏洞，雖然甲骨文緊急釋出更新，但隨即有攻擊套件被上傳網路，能對更新後的版本進行攻擊，隨後，蘋果公司封鎖了Java 7在其瀏覽器Safari上的執行，直到一個月後，甲骨文才釋出另一版更新，同時調高Java Applet的預設安全層級。

然而資安業者Immunity表示，此版更新並未完全解決先前的漏洞問題，就在甲骨文釋出更新的隔日，US-CERT也再次建議使用者在瀏覽器中關閉Java功能，同時，蘋果公司再次封鎖了更新後的Java。臉書工程師也因造訪了遭駭的程式開發網站而成為受害者。臉書安全長Joe Sullivan隨後對外證實此事，駭客利用Java 7的漏洞，竊取了位於工程師筆電上的部分資料。緊接著，蘋果公司也宣布內部員工電腦遭駭。甚至連微軟也在近日証實了企業內部遭受與臉書和蘋果同類的攻擊，少數電腦遭受入侵，但目前沒有客戶資料遭竊的跡象。

此外，日前Twitter在內部電腦被駭，並導致用戶資料外洩後，也建議使用者參照US-CERT的建議關閉瀏覽器中的Java程式。這也讓外界將Twitter資料外洩事件，與Java漏洞直接聯想在一起。

針對這一連串漏洞，甲骨文於2月密集推出了兩次更新，目前最新版的Java 7是於2月19日釋出的第15版更新。

聖藍科技研發技術長王建興指出，這幾次更新皆在試圖修補同一安全性問題。安全性的考量通常是程式開發者最易產生的盲點，因此常需多次修補、測試，才能逐漸封死目前已被駭客熟知的攻擊途徑。因此，即使第15版更新後的最新版Java並未傳出災情，並不表示已完全排除了風險。

駭客得以存取、破壞本地端資料
這一連串漏洞，讓駭客得以先感染合法網站作為跳板，轉而對造訪這些網站的使用者進行攻擊。在此情況下，帶有惡意的Java Applet可在不經使用者允許的狀況下執行，駭客能以不同使用者的權限，竊取他得以存取的資料，例如以管理者身分，來存取電腦內的所有資料。

不過王建興也解釋，這一連串漏洞是針對Java Applet，對於Android、伺服器應用程式以及本地端獨立執行的Java不受任何影響。而企業在Java上的應用則多以伺服器應用為主，因此不必過度驚慌。

而對以網頁瀏覽為主的使用者，如企業內員工，則易於成為惡意Java Applet的攻擊目標，對此，松凌科技總經理李日貴建議，開啟防毒軟體的釣魚網站防護機制及防火牆，並關閉瀏覽器的JVM功能，使帶有惡意的Java Applet無法得逞。

Java開發史上最嚴重的漏洞
Ajax開發框架ZK資深工程師蔡昀廷認為，這是Java開發史上最為嚴重的漏洞，然而，這也可說是Java朝動態語言轉型，所必經的陣痛期。蔡昀廷表示，Java SDK 7為了能在更大程度上支援動態語言的概念，在JVM上增加了許多新的指令與函式庫。而這樣的大舉革新，也同時使Java 7產生了安全上的弱點，藉由MethodHandle這個類別的設計缺失，惡意的Java Applet能夠呼叫SetSecurityManager()函式，來提升自己在被害電腦上的權限，並依此對使用者電腦進行資料竊取或破壞。

企業開始調整內部Java的採用策略
也有以Java作為內部平臺的企業，開始調整Java的採用策略。臺北港貨櫃碼頭資訊部協理劉煥榮表示，目前內部採用Java 6，雖有計畫更新至Java 7，但由於這一連串漏洞，打算等Java 7更穩定之後，才會考慮升級採用。而已更新至Java 7的神通資訊科技，其資訊服務研發處處長趙元瀚表示，神通資訊已計畫降低對Java單一開發環境的依賴比重，而轉往JavaScript等網頁技術。

但另一方面，也有企業並不擔憂。凌通科技經理周賢良表示，公司內部Java版本並未升級，僅使用Java 6，而由於公司業務以B2B為主，系統皆要求較高的安全等級，因此影響較小。義大醫院資訊部副理莊博昭表示，義大醫院Java版本停留在較舊的1.4版，網頁應用在醫院內的應用需求也不高，因此也暫無更新必要。

Java Applet將逐漸淡出網頁開發市場
王建興認為，Java是因推出Java Applet而聲名大噪，然而時至今日，欲在網頁上呈現生動效果的開發者，已有JavaScript、HTML5等新的網頁技術可供選擇，相形之下，Java Applet的熱度已大不如前。此外，甲骨文公司在Java努力的重心，也漸漸由前端的Web應用程式轉向後端的伺服器應用程式。因此，王建興認為，在未來，Java Applet將逐漸淡出網頁程式的市場，成為歷史。文⊙楊智傑